システム開発やアプリ開発、AI開発などIT企業の法律・法務に強い弁護士事務所です
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

医療情報とセキュリティ体制との法律と対策とは【解説】

インターネット法律

医療情報のセキュリティ

医療情報の利活用の必要性が叫ばれていますが、その際に必ず問題になるのが、十分なセキュリティが確立されているかどうかです。

医療機関の情報については、センシティブな情報が多く、情報セキュリティ体制が利必要不可欠となっています。

このような情報セキュリティに対するルールについては、行政などからも、指針などが公表されており、事業者としても、これを遵守することが必要になってきています。そこで、今回は、医療情報とセキュリティについて、解説していきます。

行政からの各種ガイドラインの策定

行政からは、各種ガイドラインの策定されています。

厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」
経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」

これは「3省3ガイドライン」と呼ばれており、医療情報のセキュリティ対策では、必ず参照する必要があります。

「3省3ガイドライン」は、情報セキュリティ体制と、保存義務の例外要件(電子保存と外部保存)について規律しています。

情報セキュリティ体制

個人情報保護法20条では、次のように規定しています。

「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」

また、厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」は、安全管理措置について、規定しています。

具体的には、安全管理措置を、①組織的安全管理対策、②物理的安全対策、③技術的安全対策、④人的安全対策の四つの項目に分類し、それ以外にも、いくつかの項目について論じています。

組織安全管理対策

上記ガイドラインでは、以下のように規定されています。

  1. 組織体制整備
  2. 規程等の整備と運用
  3. 医療情報の取扱台帳の整備
  4. 安全管理対策の評価、見直しおよび改善
  5. 情報や情報端末の外部持ち出しに関する規則等の整備
  6. リモートアクセス端末等の管理規程
  7. 事故または違反への対処

技術的安全対策

  1. 利用者の識別・認証
  2. 情報の区分管理とアクセス権限の管理
  3. アクセスの記録
  4. 不正ソフトウェア対策
  5. ネットワーク上からの不正アクセス
  6. 医療等分野におけるIoT機器の利用

物理的安全対策

  1. 入退館管理
  2. 盗難、覗き見等の防止
  3. 機器・装置・情報媒体等の物理的保護措置(盗難、紛失防止)

人的安全対策

(1) 従事者への安全管理措置

  1. 秘密保持契約
  2. 定期的な教育訓練
  3. 退職後の守秘義務

(2) 委託業者への安全管理措置

  1. 秘密保持契約
  2. 作業者・作業内容・作業結果の確認(医療情報システムにアクセスする場合)
  3. 作業後の定期的なチェック(医療情報システムにアクセスしない場合)
  4. 再委託の安全対策

医療機器の中には、実態はネットに接続されたコンピュータであり、情報セキュリティ体制の対象とする必要が高いものがある。

医療情報とクラウドサービス

総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」で記載されています。

医療情報システムにクラウドサービスを用いる場合、クラウドサービス事業者の提供するサービスレベルが提供コストに大きく左右されます。

サービスレベルは安全管理対策に直接影響するので、医療機関等とクラウドサービス事業者との間でサービスレベルに関する合意を形成する必要があります。

クラウドサービス事業者は、上記総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」で示される対策および対応内容を遵守したうえでサービスを提供することが求められ、SLAの内容もこれらのガイドラインの要求事項を満たすものでなければならないのです。

また、データの保存場所については、「医療機関等が所管官庁に対して法令に基づき提出する資料を円滑に提出できるよう、サービスの提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等は国内法の執行が及ぶ場所に設置する」として、日本国内にサーバ等が設置されることが要求されています。

医療情報の保存方法

診療録等の医療情報については、記録媒体については、条文上「診療録に記載」とあるのみであって、明確に書面に限定する文言上の制約はなかったのですが、保存義務を電子化するe–文書法が制定される際に、診療録等の医療情報もe–文書法の対象と整理されました。

e–文書法は、紙の書面の作成義務、保存義務等について、定めた法律です。

e–文書法省令は、診療録などの医療情報に関する書面については、特に厳格な対応を要する書面として規定されています。

これらの書面については、厳格な三要件(見読性、真正性、保存性)を規定しており、これらは「電子保存の3原則」と呼ばれています。

見読性

必要に応じ電磁的記録に記録された事項を出力することにより、直ちに明瞭かつ整然とした形式で使用に係る電子計算機その他の機器に表示し、および書面を作成できるようにすることをいいます。

真正性

電磁的記録に記録された事項について、保存すべき期間中における当該事項の改変または消去の事実の有無およびその内容を確認することができる措置を講じ、かつ、当該電磁的記録の作成に係る責任の所在を明らかにしていることをいいます。

保存性

電磁的記録に記録された事項について、保存すべき期間中において復元可能な状態で保存することができる措置を講じていることをいいます。

医療情報の取り扱いは、慎重に

医療情報は、センシティブな情報であり、万が一の事故が起こると、取り返しのつかないことになります。

医療機関としては、しっかりと、ガイドラインに沿った運営をしましょう。